분류 전체보기867 AWS transit gateway와 BGP 연결 설정 AWS transit gateway와 BGP 연결하기 위해서는 FortiGate에서 아래의 명령어가 필요하다. 이렇게 해야지만 라우팅 정보를 AWS에 올바르게 광고할 수 있다. 2023. 12. 6. NGFW policy-based 모드에서 SSLVPN 설정 주의 사항 NGFW policy-based 모드에서는 SSL inspection과 사용자 인증에 대해 별도의 policy를 설정해야 한다. (NAT에 대해서도 Central NAT 설정 해야 한다.) SSLVPN 설정에서도 사용자 인증이 필요하기 때문에, Policy&Objects -> SSL Inspection&Authentication 메뉴에서 사용자 인증 policy를 추가해야한다. 만약 위 설정이 없이 SSLVPN 설정만 한다면, SSLVPN 연결이 실패하고, packet sniffer 해보면 Syn을 받고 FortiGate가 응답을 하지않는다. 2023. 12. 6. AWS와 IKE v2로 IPSec VPN 연결에서 "received notify type AUTHENTICATION_FAILED" 에러 FortiGate와 AWS간에 IKE v2를 이용하여 IPsec VPN을 연결하는 중에, "received notify type AUTHENTICATION_FAILED" 에러로 연결이 안되는 경우가 있다. diag debug reset diag debug console timestamp enable diag debug application ike -1 diag debug enable 위 명령어로 디버그를 할 경우, 아래의 메세지와 함께 연결이 안되는 경우가 있다. ike 0:AWS-VPN-1:41542: received notify type AUTHENTICATION_FAILED 이런 경우는 pre-shared key가 서로 달라서 인증을 받지 못하는 경우이다. 양쪽에 PSK를 정확하게 맞추면 해결 할 .. 2023. 12. 4. FortiGate 모델 마다 IPS 시그니처 수가 다른 경우 동일한 펌웨어에 IPS 라이선스를 가지고, 동일한 버전으로 시그니처를 최신으로 업데이트 했지만, 각 FortiGate 모델에 따라 시그니처 수가 다르게 표시되는 경우가 있다. 예를 들어 FG-601E 모델은 16,000여개의 시그니처 데이터베이스를 가지지만, FG-800D의 경우는 10,000여개의 시그니처를 가지고 있는 경우이다. 그 이유는 800D 장치에는 CP8 SPU가 601E에는 CP9 SPU가 있으며, CP9 SPU가 있는 FortiGate는 "Full Extended Database" (가장 큰 IPS 데이터베이스)를 가지기 때문이다. IPS 데이터베이스에는 세 가지 Type이 있다. Regular Database : 가장 활동적이고 유용한 IPS 시그니처를 포함하는 가장 작은 IPS 데이터.. 2023. 12. 1. ZTNA tagging 이슈에 대한 디버그 명령어 FortiGate에서 Debug 명령어.. get system status get system performance status di sys session stat get system ha diag debug console timestamp enable diag endpoint filter show-large-data yes diag debug app fcnacd -1 diagnose debug duration 120 diag debug enable diagnose firewall dynamic list diag test app fcnacd 2 diag test app fcnacd 7 diag endpoint record list diag test app wad 2200 diag test app wad .. 2023. 11. 30. 이전 1 ··· 30 31 32 33 34 35 36 ··· 174 다음
